Trojaner-Board - Bitte prüft mal nach...

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte prüft mal nach... (https://www.trojaner-board.de/12074-bitte-prueft-mal.html)

Bitte prüft mal nach...

Hallo!
Habe mir auch etwas eingefangen, weiß aber nicht was ich jetzt alles fixen soll:
Vielelicht kann mir jemanden helfen. DAnke im vorraus...

Logfile of HijackThis v1.99.0
Scan saved at 18:18:35, on 13.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\NETROPA\TOUCH MANAGER\TOUCHMGR.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\UNLOAD\HPQCMON.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\NETROPA\TOUCH MANAGER\MEDIACTR.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\NETROPA\ONSCREEN DISPLAY\OSD.EXE
C:\PROGRAMME\ADOBE\ACROBAT 4.0\DISTILLR\ACROTRAY.EXE
C:\PROGRAMME\NETROPA\TOUCH MANAGER\MMUSBKB2.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WEBWASHER\WWASHER.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\NETSCAPE\NETSCAPE 6\NETSCP6.EXE
C:\PROGRAMME\LAVASOFT\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = +w
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://www.google.de

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH20\LGXIEBAR.DLL
O2 - BHO: (no name) - {CAF143C1-640A-11D9-B7F5-4445FF364167} - C:\WINDOWS\SYSTEM\CIKG.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Touch Manager] C:\Programme\Netropa\Touch Manager\TouchMgr.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKCU\..\Run: [iCounter] C:\PROGRAMME\ICOUNTER\ICOUNTER
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH20\LGXIEBAR.DLL
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH20\LGXIEBAR.DLL
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://63.217.31.72/d1//xxx.chm::/dropper.exe
O18 - Filter: text/html - {CAF143C0-640A-11D9-B7F5-4445907AE4FC} - C:\WINDOWS\SYSTEM\CIKG.DLL
O18 - Filter: text/plain - {CAF143C0-640A-11D9-B7F5-4445907AE4FC} - C:\WINDOWS\SYSTEM\CIKG.DLL

@Paddy80
wechsle in den abgesicherten modus und fixe mit HJT
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {CAF143C1-640A-11D9-B7F5-4445FF364167} - C:\WINDOWS\SYSTEM\CIKG.DLL
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://63.217.31.72/d1//xxx.chm::/dropper.exe
O18 - Filter: text/html - {CAF143C0-640A-11D9-B7F5-4445907AE4FC} - C:\WINDOWS\SYSTEM\CIKG.DLL
O18 - Filter: text/plain - {CAF143C0-640A-11D9-B7F5-4445907AE4FC} - C:\WINDOWS\SYSTEM\CIKG.DLL
die datei manuell löschen
C:\WINDOWS\SYSTEM\CIKG.DLL
neu starten, neues HJT logfile posten
chaosman

@chaosman
Danke für die Infos. hab die Sachen gefixt. Aber die C:\WINDOWS\SYSTEM\CIKG.DLL hab ich nicht gefunden (auch wenn versteckte dateien mit angezeigt werden).
Beim Start von Windows wird immer als erstes gleich eine DFÜ -Verbindung versucht aufzubauen. Jetzt nach dem Neustart schon wieder. Irgenwas ist wohl immer noch faul.

Aktuelle Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 19:45:15, on 13.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\NETROPA\TOUCH MANAGER\TOUCHMGR.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\UNLOAD\HPQCMON.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\NETROPA\TOUCH MANAGER\MEDIACTR.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\NETROPA\ONSCREEN DISPLAY\OSD.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
C:\PROGRAMME\ADOBE\ACROBAT 4.0\DISTILLR\ACROTRAY.EXE
C:\PROGRAMME\NETROPA\TOUCH MANAGER\MMUSBKB2.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\LAVASOFT\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = +w
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH20\LGXIEBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Touch Manager] C:\Programme\Netropa\Touch Manager\TouchMgr.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKCU\..\Run: [iCounter] C:\PROGRAMME\ICOUNTER\ICOUNTER
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH20\LGXIEBAR.DLL
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH20\LGXIEBAR.DLL

Hab inzwischen nocheinam escan über meinen pc laufen lassen und dort wurde folgendes gefunden:
File C:\WINDOWS\System32\delaybuf.dll infected by "Trojan-Downloader.Win32.Small.agb" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\ied.exe infected by "Trojan-Downloader.Win32.Mediket.m" Virus. Action Taken: No Action Taken.

Kann mir jemand sagen, ob ich diese beiden dateien bedenkenlos löschen kann ?

Danke, im Vorraus.

@Paddy80
die dateien in abgesicherten modus bei deaktivieren systemwiederherstellung manuell löschen.
chaosman

@chaosman:
wie deaktiviere ich die systemwiederherstellung, wenn ich in den abgesicherten modus gehe?

die ied.exe hat sich im abgesicherten modus löschen lassen.

File C:\WINDOWS\System32\delaybuf.dll : hier sagt er mir : Wird von windows verwendet, kann nicht gelöscht werden.

Naja, werd die Sache morgen abend nochmal angehen.

@ Paddy80

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, Datei markieren/kopieren, in die Windows Suche übertragen -> löschen:

C:\WINDOWS\SYSTEM\ied.exe

3.) --> Cidre und Chaosman zum löschen von DLL's zitiert:
"[i]entweder probierst du dies http://www.windows-tweaks.info/html/dllsuchexp.html oder du machst es so: Lade Dir Winfile.exe (einen älteren NT-Dateimanager) herunter und starte ihn. Navigiere im rechten Fenster zu der betreffenden dll, markiere sie und wähle im Menue Security die Option Permissions. Ändere im unteren Auswahlfenster die Zugriffsart auf Vollzugriff. Bestätige mit [OK]. Dann wähle im selben Menue die Option Owner und klicke auf [Besitz übernehmen]. Bestätige mit OK. Jetzt die Datei umbenennen in z.B. Malware.txt und die Nachfragen jeweils mit [OK] bzw. [Ja] bestätigen. Anschließend sollte die Datei sich löschen lassen:

C:\WINDOWS\System32\delaybuf.dll

Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren. Neu booten.

Erstelle bitte ein neues HJT-Logfile und poste es.

Hallo Leute, der Mensch hat win 98! nix mit Systemwiederherstellung.
LG, Charlie

juchuuu .. hier ist ja noch einer wach und prüft nach ...

Hallo Paddy80,

vergiss die Systemwiederherstellung .. die hast Du nicht ;-) Aber den abgesicherten Modus hast Du ... es bleibt also alles wie gehabt, nur die Systemwiederherstellung musst Du weder deaktivieren noch aktivieren, denn das geht bei win 98 nicht.

@ shadowdance

Ja bin noch ein alter Win98er und auch keine großer experte ;-)

Also im abgesicherten Modus lässt sich die delaybuf.dll nicht löschen:

delaybuf kann nicht gelöscht werden: Die angegebene Datei wird von Windows verwendet.

Hab mir winfile.exe runtergeladen, läuft aber auch nicht:
Die Datei WINFILE.EXE ist verknüpft mit dem fehlenden Export-SHELL32.DLL:StrChrW.

Hallo, mein Problem ist immern noch aktuell:

C:\WINDOWS\System32\delaybuf.dll

verseucht und lässt sich nicht im abgesicherten Modus löschen.
Kann mir jemand nochmal nen Tipp geben?

Hab auch nochmal online bei Jotti (si wie in andereren Forenbeiträgen gepostet) gescannt:

ervice load:
0% 100%
File: delaybuf.dll
Status:
INFECTED/MALWARE
Packers detected:
None

AntiVir
No viruses found (0.14 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.36 seconds taken)
ClamAV
No viruses found (0.44 seconds taken)
Dr.Web
No viruses found (0.54 seconds taken)
F-Prot Antivirus
No viruses found (0.07 seconds taken)
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Small.agb (0.65 seconds taken)
mks_vir
No viruses found (0.25 seconds taken)
NOD32
No viruses found (0.41 seconds taken)
Norman Virus Control
No viruses found (0.13 seconds taken)

@Paddy80
versuch es doch mal mit AmokDelay
download hier
anders über regedit....
chaosman

@chaosman

Zitat:

Zitat von chaosman

versuch es doch mal mit AmokDelay

Hat geklappt ;-) Ich dank dir vielmals für den Tipp und die unkoplizierte Hilfe.

DANKE!